{"id":3228,"date":"2024-07-05T12:55:03","date_gmt":"2024-07-05T11:55:03","guid":{"rendered":"https:\/\/www.jmarior.net\/itank\/?p=3228"},"modified":"2024-07-05T13:01:12","modified_gmt":"2024-07-05T12:01:12","slug":"como-analizar-un-volcado-de-memoria-de-windows","status":"publish","type":"post","link":"https:\/\/www.jmarior.net\/itank\/como-analizar-un-volcado-de-memoria-de-windows\/","title":{"rendered":"C\u00f3mo analizar un volcado de memoria de Windows"},"content":{"rendered":"

Tras haber experimentado el temido pantallazo azul de la muerte o dead bluescreen varias veces me propuse analizar el estado del sistema en el momento del fatal reinicio. Esto es lo que hice:<\/p>\n

Los reinicios con pantallazo azul producen un volcado de memoria a disco que por defecto se materializa en un fichero c:\\windows\\memory.dmp que intentaremos analizar.<\/p>\n

Herramientas de an\u00e1lisis<\/h2>\n

Aunque localic\u00e9 algunos programas que en teor\u00eda ayudan a localizar las causas del problema como Bluescreenview o Whocrashed, ninguno de ellos me ofreci\u00f3 nada revelador. La herramienta m\u00e1s completa (y compleja) para analizar los MEMORY.DMP es WinDbg<\/strong> de Microsoft.<\/p>\n

https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/debugger\/<\/p>\n

Desde una sesi\u00f3n con privilegios de administrador ejecutar el comando:<\/p>\n

winget install Microsoft.WinDbg\n<\/code><\/pre>\n
No logr\u00e9 instalarla directamente en el servidor sin conexi\u00f3n a Intert, pero s\u00ed en un Windows 10 local y me transfer\u00ed el fichero memory.dmp para analizarlo<\/p>\n
Analizar el fichero memory.dmp<\/h2>\n
Desde WinDbg<\/strong> abro el fichero .dmp lo que produce el inicio de una sesi\u00f3n de debug
\n<\/p>\n
Ahora obtendr\u00e9 el listado de procesos activos en el sistema en el momento del problema:<\/p>\n
kd> !vm\n<\/code><\/pre>\n
Y este ser\u00e1 el output
\n
\nPage File: ?? C:\\pagefile.sys
\n  Current:  25427968 Kb  Free Space:  25216864 Kb
\n  Minimum:  25427968 Kb  Maximum:     38010880 Kb<\/p>\n
Physical Memory:          6291206 (   25164824 Kb)
\nAvailable Pages:          3179974 (   12719896 Kb)
\nResAvail Pages:           6035958 (   24143832 Kb)
\nLocked IO Pages:                0 (          0 Kb)
\nFree System PTEs:      4294972562 (17179890248 Kb)
\nModified Pages:             16534 (      66136 Kb)
\nModified PF Pages:          16534 (      66136 Kb)
\nModified No Write Pages:        4 (         16 Kb)
\nNonPagedPool Usage:           246 (4226247819264 Kb)
\nNonPagedPoolNx Usage:       81435 (1399042646999040 Kb)
\nNonPagedPool Max:      4294967296 (17179869184 Kb)
\nPagedPool Usage:            81557 (     326228 Kb)
\nPagedPool Maximum:     4294967296 (17179869184 Kb)
\nProcessor Commit:            1078 (       4312 Kb)
\nSession Commit:               390 (       1560 Kb)
\nShared Commit:              39768 (     159072 Kb)
\nSpecial Pool:                   0 (          0 Kb)
\nKernel Stacks:              16720 (      66880 Kb)
\nPages For MDLs:              4184 (      16736 Kb)
\nContigMem Pages:                0 (          0 Kb)
\nPartition Pages:                0 (          0 Kb)
\nPages For AWE:                  0 (          0 Kb)
\nNonPagedPool Commit:        86990 (     347960 Kb)
\nPagedPool Commit:           81571 (     326284 Kb)
\nDriver Commit:              11518 (      46072 Kb)
\nBoot Commit:                 3233 (      12932 Kb)
\nPFN Array Commit:           74273 (     297092 Kb)
\nSmallNonPagedPtesCommit:      704 (       2816 Kb)
\nSlabAllocatorPages:             0 (          0 Kb)
\nSkPagesInUnchargedSlabs:        0 (          0 Kb)
\nSystem PageTables:           1566 (       6264 Kb)
\nProcessLockedFilePages:        57 (        228 Kb)
\nPagefile Hash Pages:           91 (        364 Kb)
\nSum System Commit:         322143 (    1288572 Kb)
\nTotal Private:            2867853 (   11471412 Kb)
\nMisc\/Transient Commit:      32780 (     131120 Kb)
\nCommitted pages:          3222776 (   12891104 Kb)
\nCommit limit:            12648198 (   50592792 Kb)
\n<\/code><\/p>\n","protected":false},"excerpt":{"rendered":"
Tras haber experimentado el temido pantallazo azul de la muerte o dead bluescreen varias veces me propuse analizar el estado del sistema en el momento del fatal reinicio. Esto es lo que hice: Los reinicios con pantallazo azul producen un volcado de memoria a disco que por defecto se materializa en un fichero c:\\windows\\memory.dmp que […]<\/p>\n","protected":false},"author":2,"featured_media":3229,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"class_list":["post-3228","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-itank-ideas"],"views":157,"_links":{"self":[{"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/posts\/3228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/comments?post=3228"}],"version-history":[{"count":0,"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/posts\/3228\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/media\/3229"}],"wp:attachment":[{"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/media?parent=3228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/categories?post=3228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.jmarior.net\/itank\/wp-json\/wp\/v2\/tags?post=3228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}